Översikt över grupphanterade tjänstkonton

• Gäller för:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Den här artikeln för IT-proffs introducerar gruppen Hanterat tjänstkonto (gMSA) genom att beskriva praktiska program, ändringar i Microsofts implementering samt maskinvaru- och programvarukrav.

Funktionsbeskrivning

Ett fristående hanterat tjänstkonto (sMSA) är ett hanterat domänkonto som tillhandahåller automatisk lösenordshantering, förenklad hantering av tjänstens huvudnamn (SPN) och möjligheten att delegera hanteringen till andra administratörer. Domänadministratörer kan delegera tjänsthantering till tjänstadministratörer som kan hantera hela livscykeln för ett hanterat tjänstkonto eller gruppen Hanterat tjänstkonto. Befintliga klientdatorer kan autentisera till en sådan tjänst utan att veta vilken tjänstinstans de autentiserar till. Den här typen av hanterat tjänstkonto (MSA) introducerades i Windows Server 2008 R2 och Windows 7.

Grupphanterat tjänstkonto (gMSA) tillhandahåller samma funktioner i domänen och utökar även den funktionen över flera servrar. Detta minimerar de administrativa kostnaderna för ett tjänstkonto genom att låta Windows hantera lösenordshantering för dessa konton. När du ansluter till en tjänst som finns i en servergrupp, till exempel en lösning för belastningsutjämning för nätverk, kräver autentiseringsprotokollen som stöder ömsesidig autentisering att alla instanser av tjänsterna använder samma huvudnamn. När du använder en gMSA som tjänstens huvudnamn hanterar Windows-operativsystemet lösenordet för kontot i stället för att förlita sig på administratören för att hantera lösenordet.

Med Microsoft Key Distribution Service (kdssvc.dll) kan du på ett säkert sätt hämta den senaste nyckeln eller en specifik nyckel med en nyckelidentifierare för ett Active Directory-konto. Nyckeldistributionstjänsten delar en hemlighet som används för att skapa nycklar för kontot. Dessa nycklar ändras regelbundet. För en gMSA beräknar domänkontrollanten lösenordet på nyckeln som key Distribution Services tillhandahåller, tillsammans med andra attribut för gMSA. Medlemsvärdar kan hämta aktuella och föregående lösenordsvärden genom att kontakta en domänkontrollant.

Praktiska tillämpningar

gMSAs tillhandahåller en enda identitetslösning för tjänster som körs på en servergrupp eller på system bakom Network Load Balancer. Genom att tillhandahålla en gMSA-lösning kan du konfigurera tjänster för det nya gMSA-huvudkontot medan Windows hanterar lösenordshanteringen.

När tjänster eller tjänstadministratörer använder en gMSA behöver de inte hantera lösenordssynkronisering mellan tjänstinstanser. GMSA stöder värdar som hålls offline under en längre tidsperiod och hanterar medlemsvärdar för alla instanser av en tjänst. Du kan distribuera en servergrupp som stöder en enda identitet som befintliga klientdatorer kan autentisera utan att behöva veta vilken tjänstinstans de ansluter till.

Även om redundanskluster inte har stöd för gMSA:er kan tjänster som körs i klustertjänsten använda en gMSA eller sMSA om de är en Windows-tjänst, en apppool, en schemalagd uppgift eller internt stöd för gMSA eller sMSA.

Programvarukrav

För att kunna köra Windows PowerShell-kommandona måste du administrera gMSAs, du måste ha en 64-bitars arkitektur.

Ett hanterat tjänstkonto beror på krypteringstyper som stöds av Kerberos. När en klientdator autentiserar till en server med Kerberos skapar domänkontrollanten en Kerberos-tjänstbiljett som skyddas med kryptering som både domänkontrollanten och servern stöder. Domänkontrollanten använder kontots msDS-SupportedEncryptionTypes attribut för att avgöra vilken kryptering servern stöder. Om det inte finns något attribut behandlar domänkontrollanten klientdatorn som om den inte stöder starkare krypteringstyper. Om du har konfigurerat värden så att den inte stödjer RC4, misslyckas alltid autentiseringen. Därför bör du alltid konfigurera AES för msas.

Anmärkning

Från och med Windows Server 2008 R2 är DES inaktiverat som standard. Mer information om krypteringstyper som stöds finns i Ändringar i Kerberos-autentisering.

Anmärkning

gMSAs gäller inte för Windows-operativsystem som är tidigare än Windows Server 2012. För Windows Server 2012 hanterar Windows PowerShell-cmdletarna som standard gMSAs i stället för serverns hanterade tjänstkonton.

Serverhanterarens information

Du behöver inte göra någon extra konfiguration för att implementera MSA och gMSA med hjälp av Serverhanteraren eller cmdleten Install-WindowsFeature.

Nästa steg

Här är några andra resurser som du kan läsa om du vill veta mer om hanterade tjänstkonton:

• Dokumentation om hantera tjänstkonton för Windows 7 och Windows Server 2008 R2
• Steg-för-steg-guide för tjänstkonton
• Komma igång med grupphanterade tjänstkonton
• hanterade tjänstkonton i Active Directory Domain Services
• Hanterade Tjänstkonton: Förståelse, Implementering, Bästa Metoder och Felsökning
• Översikt över Active Directory Domain Services